CVE-2020-28279

Versões do flattenizer de 0.0.5 a 1.0.5

O problema está relacionado a uma vulnerabilidade de contaminação de protótipos, que permite que um invasor provoque uma negação de serviço e pode levar à execução remota de código. A função unflatten() no módulo NPM ‘flattenizer’ não verifica o tipo de objeto antes de atribuir um valor a uma propriedade, tornando-a vulnerável a abusos. Essa falha permite que um invasor crie propriedades inexistentes ou manipule as existentes, levando potencialmente à negação de serviço ou à execução remota de código. A vulnerabilidade pode ser explorada atribuindo-se diretamente uma propriedade, como polluted, ao protótipo do objeto sem a devida validação.

Para as versões 0.0.5 a 1.0.5, considere desativar a função unflatten() até que um patch esteja disponível para evitar uma possível exploração. Restrinja o uso do módulo ‘flattenizer’ para minimizar o risco de negação de serviço ou execução remota de código. Evite usar a função unflatten() com entradas não confiáveis para evitar a contaminação do protótipo. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.